我有一个REST API,需要允许多个应用程序的CORS,以及应该使用此API的单页面webapp。但API不应该完全打开。
现在,我已经研究了不同的身份验证方案,而Oauth2似乎就像“大家伙”正在使用的那样。
我正在考虑实施的解决方案是这样的:
JS webapp向本地服务器端代理发出请求,该代理保存Oauth凭据并获取JS webapp的令牌,用于从那时起直接与REST API通信。
这听起来有效吗?我想我刚刚解决了问题,因为我现在需要验证webapps令牌请求到本地代理? :)
我也在想这个问题必须在以前已经解决过很多次了。)